(AD 域环境 + 内网 192.168.100.0/24 + 域名 iehang.cn)
本文以 ** 已安装 AD 域服务(iehang.cn)** 的 Windows Server 2025 域控制器为例,完整配置 DNS 服务器、正向 / 反向区域、内网主机解析、动态更新、转发器等。
一、环境信息
- 系统:Windows Server 2025(域控制器)
- 域名:iehang.cn
- 内网网段:192.168.100.0/24
- 域控制器 IP(示例):192.168.100.10
- 客户端网关:192.168.100.1
- 已安装:AD DS(域已正常运行)
说明:安装 AD DS 时默认会自动安装 DNS;若未安装,下面补充手动安装步骤。
二、检查 / 安装 DNS 服务器角色
1. 图形安装(如未安装 DNS)
- 打开 服务器管理器 → 管理 → 添加角色和功能
- 下一步 → 下一步 → 选择本机 → 下一步
- 勾选 DNS 服务器 → 添加功能 → 下一步
- 直至安装完成。
2. PowerShell 安装
powershell
Install-WindowsFeature DNS -IncludeManagementTools
3. 打开 DNS 控制台
服务器管理器 → 工具 → DNS
或运行:
plaintext
dnsmgmt.msc
三、本机 IP 与 DNS 指向配置(必须正确)
- 以太网属性 → IPv4 属性
- IP 地址:
- IP:192.168.100.10
- 子网掩码:255.255.255.0
- 网关:192.168.100.1
- DNS 服务器:
- 首选 DNS:192.168.100.10(本机 IP)
- 备用 DNS 留空或不填
- 确定 → 重启网卡
四、AD 环境下 DNS 正向区域检查
搭建 AD 时会自动创建正向查找区域 iehang.cn,并自动生成 AD 必需的 SRV 记录(_ldap、_kerberos 等)。
验证正向区域
- DNS → 正向查找区域
- 应有 iehang.cn 主要区域
- 里面应有类似如下结构:
- DomainDnsZones
- ForestDnsZones
- 域控制器 A 记录
- _tcp、_udp 下的 SRV 记录
如果没有,说明 AD 安装异常,需重新配置 AD+DNS。
五、创建反向查找区域(192.168.100.0/24)
用于 IP → 域名反向解析(PTR),AD 环境建议必配。
- 右键 反向查找区域 → 新建区域
- 下一步 → 主要区域 → 下一步
- 选择 IPv4 反向区域
- 网络 ID:输入 192.168.100
- 区域文件名默认:100.168.192.in-addr.arpa.dns
- 动态更新:选择 仅允许安全的动态更新(AD 环境必须)
- 完成
六、内网常用 DNS 记录配置(iehang.cn)
在 正向查找区域 → iehang.cn 中创建以下记录。
1. 新建主机记录(A 记录)
域控制器本身
- 名称:DC01
- IP:192.168.100.10
- 勾选 创建关联的 PTR 记录
- 添加主机
文件服务器示例
- 名称:FS01
- IP:192.168.100.20
- 勾选创建 PTR
Web 服务器示例
- 名称:www
- IP:192.168.100.80
泛解析(可选)
- 名称:
* - IP:192.168.100.80
作用:所有不存在的子域名都解析到 Web 服务器
2. 新建 CNAME 别名记录
- 别名:oa
- 目标主机:www.iehang.cn
作用:oa.iehang.cn → 指向 www.iehang.cn
3. 新建 MX 邮件记录(如有内网邮件系统)
- 主机或域:留空(iehang.cn)
- 邮件服务器:mail.iehang.cn
- 优先级:10
再添加 A 记录:mail → 192.168.100.25
七、配置 DNS 转发器(实现外网解析)
内网 DNS 无法解析外网域名时,转发给公共 DNS。
- 右键 DNS 服务器名(DC01)→ 属性
- 切换到 转发器 → 编辑
- 添加:
- 223.5.5.5(阿里)
- 114.114.114.114(114)
- 确定
不配置转发器也可使用根提示直接访问互联网根服务器。
八、AD 安全动态更新(确保客户端自动注册 DNS)
- 右键 iehang.cn 区域 → 属性
- 常规 → 动态更新:
- 设置为 仅安全的动态更新
- 反向区域 100.168.192.in-addr.arpa 同样设置
客户端加入域后,会自动在 DNS 注册自己的 IP 和主机名。
九、客户端 DNS 配置(Windows 内网电脑)
- IPv4 DNS 设置:
- 首选:192.168.100.10
- 备用:不填
- 刷新 DNS 缓存:
cmd
ipconfig /flushdns
ipconfig /registerdns
十、测试 DNS 解析
在客户端 CMD 执行:
正向解析
cmd
nslookup dc01.iehang.cn
nslookup www.iehang.cn
nslookup oa.iehang.cn
nslookup baidu.com
反向解析
cmd
nslookup 192.168.100.10
nslookup 192.168.100.20
检查 AD SRV 记录(域正常关键)
cmd
nslookup -type=srv _ldap._tcp.iehang.cn
能正常返回域控制器信息表示 AD DNS 正常。
十一、防火墙放行 DNS 端口(UDP 53)
服务器管理器 → 高级安全 Windows 防火墙
- 新建入站规则 → 端口 → UDP 53 → 允许连接
- 名称:DNS-UDP-53
(区域传输用 TCP 53,内网可一并放行)
十二、PowerShell 一键配置脚本(可直接复制执行)
powershell
# 1. 安装DNS(如未装)
Install-WindowsFeature DNS -IncludeManagementTools
# 2. 新建反向区域 192.168.100.0/24
Add-DnsServerPrimaryZone -NetworkID "192.168.100.0/24" -ReplicationScope Domain -DynamicUpdate Secure
# 3. 添加A记录
Add-DnsServerResourceRecordA -ZoneName "iehang.cn" -Name "DC01" -IPv4Address "192.168.100.10" -CreatePtr
Add-DnsServerResourceRecordA -ZoneName "iehang.cn" -Name "FS01" -IPv4Address "192.168.100.20" -CreatePtr
Add-DnsServerResourceRecordA -ZoneName "iehang.cn" -Name "www" -IPv4Address "192.168.100.80" -CreatePtr
Add-DnsServerResourceRecordA -ZoneName "iehang.cn" -Name "mail" -IPv4Address "192.168.100.25" -CreatePtr
# 4. 添加CNAME
Add-DnsServerResourceRecordCName -ZoneName "iehang.cn" -Name "oa" -HostNameAlias "www.iehang.cn"
# 5. 添加MX记录
Add-DnsServerResourceRecordMX -ZoneName "iehang.cn" -MailExchange "mail.iehang.cn" -Preference 10
# 6. 设置转发器
Set-DnsServerForwarder -IPAddress 223.5.5.5,114.114.114.114
# 7. 查看区域
Get-DnsServerZone
十三、常见问题
-
客户端无法加域
- DNS 必须指向 192.168.100.10
- 检查 SRV 记录是否存在
-
内网能解析,外网不能解析
- 配置转发器
- 检查服务器能否 ping 通公网 DNS
-
主机名不自动更新到 DNS
- 区域启用安全动态更新
- 客户端执行
ipconfig /registerdns
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
